Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kurznachrichtendienst: 250.000…

Passwörter

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter

    Autor: der_wahre_hannes 03.02.13 - 13:47

    "Der Sicherheitsexperte riet dazu, starke Passwörter mit mindestens zehn Zeichen mit großen und kleinen Buchstaben, Zahlen und Sonderzeichen zu verwenden."

    Wieso fällt mir bei solchen Äußerungen immer dies hier ein: http://xkcd.com/936/

    10 Zeichen mit großen und kleinen Buchstaben, Zahlen, Sonderzeichen... das kann sich doch niemand merken. Wieso nicht Passwörter wie im obigen XKCD wählen? Die kann man sich sehr leicht merken, sind aber von einem Angreifer in absehbarer Zeit nicht knackbar.

    Mal ein kleines Beispiel:
    Man denke an seinen Lieblingssong, nehmen wir als Beispiel mal "Only happy when it rains" von Garbage. Da kann man sich z.B. 2 Wörter rauspicken. Nehmen wir mal "Happy" und "Rain".
    Gesungen wird das ganze von Shirley Manson. Den Vornamen nehmen wir auch. Was fällt einem zu "Shirley" ein? Vielleicht ja Shirley Temple. Zum Nachnamen "Temple" könnten einem vielleicht die Stone Temple Pilots einfallen. Nehmen wir hiervon also das "Pilots".

    Dann haben wir ein schönes Passwort: "Happy Rain Shirley Pilot". Lässt sich auf jeden Fall leichter merken als ein Passwort wie "UGgr@F7cC!", lässt sich auf Smartphones zudem leichter tippen und ist aufgrund der Länge von 25 Zeichen auch kaum durch Brute Force zu knacken.

    Gut, manche Seiten lassen kein Leerzeichen in den Passwörtern zu (warum auch immer). Dann kann man aber immer noch "Happy-Rain-Shirley-Pilot" als Passwort wählen.

    In der c't war vor kurzem ein Artikel über Passwortknacker, die selbst ein Passwort wie "thatsthewayilikeitbabyidontwannaliveforever" geknackt hätten, da es sich hier nur um ein Zitat aus einem Liedtext von Motörhead handelt. Aber ich bin mir sicher, dass sich obiges Passwort (bis zu diesem Post ;) ) kaum über google oder ähnliche Suchmaschinen finden lässt. Es ist kein Zitat aus irgendeinem Liedtext, kein Bibelzitat und auch kein Sprichwort. Es sind einfache Wörter, die zusammengesetzt wurden. Leicht zu merken, aber dennoch schwer zu knacken. SO sollten Passwörter gewählt werden!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Passwörter

    Autor: noplease 03.02.13 - 16:27

    Ich kann ja wohl davon ausgehen, dass Du hier nicht etwa vorschlagen wolltest, für jede Anmeldung das selbe Passwort zu benutzen, oder?!

    Wenn doch, dann sind wir nämlich sofort wieder bei einem der besten Gründe für solche Angriffe, wie dem hier auf Twitter: das Gewinnen von 'persönlichen Passwörtern'. Damit wird dann nicht selten der Zugriff auf andere 'wichtige' Konten der Betreffenden möglich, ... denn: für viele sind die 'Sozialen Netzwerke' etwas so persönliches, dass sie hier Kennwörter benutzen, die sie nicht selten mehrfach benutzen... kurzum bei allem, was mit ihrer eigenen Person zu tun hat. Bei Mailkonten und vor allem bei Foren und Webshops wird schon mal varriert, bei den persönlichen Anmeldungen schon eher selten.

    Also wird z.B. zu den bei einer Zeitung gefundenen Namen ein gleichlautender Twitter-Account gesucht, den man dann versucht, zu hacken.
    Schon eher nützlich ist da der Umstand, dass viele heutzutage ihren Klarnamen einsetzen, aber auch wer unter einem Pseudonym bekannt ist, hat die Angewohnheit, immer wieder den selben Namen zu verwenden. Entsprechend hoch ist die zu erwartende Trefferquote bei der Überlagerung gewonnener Daten aus mehreren Angriffen auf verschiedene Ziele.

    Wenn Du dagegen auch der Meinung bist, dass man für jede Anmeldung auch ein eigenes Kennwort haben sollte, ...
    ... dann stehst Du aber vor dem Problem, dass Du Dir für jede Anmeldung/jeden Account wieder einen neuen anderen Song mit einem anderen Interpret, eine weitere Person mit demselben Vornamen und aus deren Nachnamen wieder einen abgeleiteten Namen ausdenken musst.
    Man muss also auch da wieder wissen, welche 'Gedankenkette' wo zutrifft...
    Ob das dann wirklich so viel einfacher ist, als beliebige zufällig angelegte Kennwörter?
    Einen weiteren Fehler im Strickmuster Deines Vorschlags sehe ich dabei auch noch: mir fallen keine Namen ein, in denen in bemerkenswertem Umfang Sonderzeichen und Ziffern vorkommen. Das schränkt den Zeichenraum für Brute-Force-Attacken doch sehr empfindlich ein. Dann können 25er-Strings knackbarer sein als andere deutlich kürzere.

    Ich bleibe dann doch gerne weiter bei den lustig-sinnlosen Zeichenfolgen und lege für jeden Account gerne eine eigene an. Als äußerst spendabler User vergebe ich jeder dauerhaften Anmeldung dann auch noch eine eigene einzigartige Mailadresse, so dass ich im Fall der Fälle sogar auch weiß, wem meine Daten abhanden gekommen sind. ^^

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Passwörter

    Autor: der_wahre_hannes 03.02.13 - 17:10

    noplease schrieb:
    --------------------------------------------------------------------------------
    > Ich kann ja wohl davon ausgehen, dass Du hier nicht etwa vorschlagen
    > wolltest, für jede Anmeldung das selbe Passwort zu benutzen, oder?!

    Wo liest du das denn aus dem Text raus? Ich sage: Hört doch bitte auf, den Usern einzureden, sie müssten unglaublich komplexe Passwörter wählen, wenn die doch sehr einfach durch die Unterstützung von Computern geknackt werden können.

    > Wenn Du dagegen auch der Meinung bist, dass man für jede Anmeldung auch ein
    > eigenes Kennwort haben sollte, ...
    > ... dann stehst Du aber vor dem Problem, dass Du Dir für jede
    > Anmeldung/jeden Account wieder einen neuen anderen Song mit einem anderen
    > Interpret, eine weitere Person mit demselben Vornamen und aus deren
    > Nachnamen wieder einen abgeleiteten Namen ausdenken musst.

    Man kann sich auch einfach eine Geschichte zur Webseite ausdenken, oder man nimmt einfach irgendwelche anderen Wörter, wie z.B. "correct horse battery staple". Wo ist hier denn der Unterschied zu dem Hinweis, man soll für jede Seite ein anderes Passwort haben? Wenn ich mich auf 10 Seiten anmelde und 10 komplett unterschiedliche Passwörter benutzen soll, dann nehme ich doch lieber etwas, was ich mir leicht merken kann.

    > Man muss also auch da wieder wissen, welche 'Gedankenkette' wo zutrifft...
    > Ob das dann wirklich so viel einfacher ist, als beliebige zufällig
    > angelegte Kennwörter?

    Man kann sich sehr viel leichter für 10 verschiedene Seiten 4 zufällig gewählte Wörter merken, als für 10 verschiedene Seiten 10 völlig zufällig generierte Zeichenketten, meinst du nicht? Oder bist du wirklich der Ansicht, du könntest dir 10 Passwörter im Stile von "8;dU2i2{xs1*hT#4A9tccT." leichter merken, als Passwörter im Stile von "correct horse battery staple"?
    Ganz abgesehen davon, dass man das komplexe Passwort auf einem Smartphone kaum wird eintippen können, ohne dabei halb wahnsinnig zu werden.

    > Einen weiteren Fehler im Strickmuster Deines Vorschlags sehe ich dabei auch
    > noch: mir fallen keine Namen ein, in denen in bemerkenswertem Umfang
    > Sonderzeichen und Ziffern vorkommen.

    Oh Mann... da sind wir doch wieder genau bei dem Argument, dass Passwörter zu komplex gemacht werden, bis sie sich kein Mensch mehr merken kann.
    Was passiert?
    1. man schreibt das Passwort irgendwo auf. Ok, auf meine Schreibtischunterlage hat kein Trojaner Zugriff, wirklich toll ist das aber trotzdem nicht.
    2. Man verzichtet auf den Kram, weil es "zu kompliziert" ist und landet dann bei Passwörtern wie "ge!heim1234", die innerhalb von Sekunden geknackt sind.

    Außerdem:
    1. Das Leerzeichen IST ein Sonderzeichen.
    2. Wo ist denn das Problem, das Passwort z.B. als "Happy_Rain@Shirley-Pilot" zu wählen, mal ganz abgesehen davon, dass man es wieder unnötig komplex macht, ohne wirklich Sicherheit dazu zu gewinnen.

    > Das schränkt den Zeichenraum für Brute-Force-Attacken doch sehr empfindlich ein. Dann können 25er-Strings knackbarer sein als andere deutlich kürzere.

    Ok, lassen wir das Leerzeichen mal außer Acht: Groß- und Kleinbuchstaben, also ein Suchraum von 52 möglichen Zeichen. Eine Länge von 25 Zeichen. Also 53^25=7,94481138*10^42 verschiedene Möglichkeiten. Ich glaube, das reicht aus, oder?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Passwörter

    Autor: KTVStudio 04.02.13 - 06:23

    Ist das der Passworthinweis nicht ein wenig deplaziert? Ich meine bei solch einer Aktion ist es doch schlichtweg egal was für ein Passwort im Einsatz ist futsch ist futsch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Passwörter

    Autor: der_wahre_hannes 04.02.13 - 10:44

    Ich gehe einfach mal davon aus, dass Twitter die Dinger nicht im Klartext gespeichert hat...

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login


Anzeige
  1. Consultant Automotive Sales (m/w)
    T-Systems on site services GmbH, München, Leinfelden-Echterdingen
  2. Software Entwickler Java (m/w)
    team24x7 Gesellschaft für Lösungen in der Datenverarbeitung mbH, Bonn
  3. Medizininformatiker / Fachinformatiker (m/w) für Medizinische Informationssysteme
    Landeskrankenhaus (AöR), Andernach
  4. Architect Microsoft Exchange / Lotus Notes (m/w)
    T-Systems International GmbH, Leinfelden-Echterdingen, Bonn, Bremen, Hamburg, München

Detailsuche



Anzeige
Hardware-Angebote
  1. Logitech G900 Maus
    159,00€ statt 179,00€
  2. GeForce GTX 1070 bei Alternate
    (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  3. GeForce GTX 1080 bei Alternate

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

  1. Battlefield 1 angespielt: Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze
    Battlefield 1 angespielt
    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

    E3 2016 Electronic Arts hatte neben der im Stream gezeigten Fassung von Battlefield 1 für ausgewählte Journalisten noch eine weitere Version auf der E3 im Gepäck: die Closed Alpha. In einem dunklen Konferenzraum durften wir abseits vom Messetrubel Gameplay aufzeichnen und erste Eindrücke des kommenden Multiplayer-Shooters im ersten Weltkrieg sammeln.

  2. Förderung: Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann
    Förderung
    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

    Fiber-To-The-Home (FTTH) kann billiger sein, räumt die Deutsche Telekom ein. Dies gelte für abgelegene Ortsteile, Weiler und Gehöfte. Vectoring wird zudem nicht staatlich gefördert.

  3. Procter & Gamble: Windel meldet dem Smartphone, wenn sie voll ist
    Procter & Gamble
    Windel meldet dem Smartphone, wenn sie voll ist

    Pampers mit Sensoren sind für den Procter & Gamble-Konzern eine Option. Zahnbürsten melden bereits, wenn der Nutzer zu stark drückt oder zu kurz putzt.


  1. 15:00

  2. 10:36

  3. 09:50

  4. 09:15

  5. 09:01

  6. 14:45

  7. 13:59

  8. 13:32